安卓发展到现在,取证过程中屏幕锁的问题被大家越来越重视,特别是遇到一些机主死亡的案件。不知道大家思考过为啥现在解锁难吗?前面的文章里聊过两个话题:BootLoad锁和全盘加密,其实正是这两个‘恶魔’同时附体安卓手机后,解锁之路才如蜀道。我们取证中要解决掉屏幕锁是因为它阻止了我们对数据的提取。安卓手机有锁情况下一般的处理思路是什么?1.绕过屏幕锁,看能否直接读镜像。如果能拿到镜像文件,我们可以不用理会屏幕锁,直接解析镜像,完成数据提取。2.无路可绕,想办法刷recovery获取权限后解锁或镜像。先说说第一个恶魔‘全盘加密’没有全盘加密的时代,一切都是那么美好:高通和联发科MTK的手机,大部分是可以直接关机读取镜像文件的。遇到其它cpu或不能关机镜像的用拆芯片的方法也可以拿到手机镜像。手机有屏幕锁,也阻止不了我们获取镜像文件,而且还可以通过镜像文件分析出手机的锁屏密码。但是在手机开启全盘加密后,读取的镜像没法解析,这时遇到有屏幕锁的手机直接读取镜像的方法就凉凉了。再说说另一个‘恶魔’BL锁BL锁的作用就是保护手机系统不被修改,一旦不在手机厂家规则允许的情况下触发保护机制,会自动抹除手机的所有数据。在没有BL锁的手机上,我们可以刷入带有root权限的非官方recovery文件,刷入后手机有了root权限,很容易的就可以完成读取锁文件、清除锁、文件获取等各种操作。像早期的三星基本都是用这种方法来解锁。在BL锁这个恶魔没有被释放出来时,互联网上手机论坛上玩机大神们制作的各款手机的recovery包一大堆,遇到屏幕锁手机想解锁并不难。BL锁出现后,我们再用刷网上这种非官方recovery解屏幕锁时几乎就是进入一个死循环状态:手机有屏幕锁-――没有办法不抹除数据情况下解BL锁――无法刷入有root权限的三方recovery――无法解除屏幕锁。通过前面的介绍,不知道讲明白没有。其实只要不是BL锁和全盘加密同时附体,安卓手机的解锁并没有那么难,读镜像或刷三方recovery等方案可供我们选择。而一旦它俩同时附体,几乎将常规解锁的路堵死了。幸好现在还不是无路可走,一些取证公司通过努力研发,针对这种全盘加密+BL锁机型在陆续提供解锁方案。欢迎
